sonyps4.ru

Меры защиты информации. Защита информации

Технические меры защиты

Организационные мероприятия рассматриваются многими специалистами, занимающимися вопросами безопасности компьютерных систем, как наиболее важные и эффективные из всех средств защиты. Это связано с тем, что они являются фундаментом, на котором строится вся система защиты.

Организационные меры защиты

Вопрос 3. Классификация мер защиты информации

Все меры противодействия компьютерным преступлениям можно условно подразделить на технические, организационные и правовые .

Возможна и другая классификация, при которой все меры подразделяются на правовые, организационно-технические и экономические.

К экономическим мерам защиты компьютерной информации относится разработка программ обеспечения информационной безопасности России и определение порядка их финансирования, а также совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических мер защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

Организационные меры защиты информации и информационных систем включают в себя совокупность организационных мероприятий по подбору, проверке и инструктажу персонала, осуществлению режима секретности, обеспечению физической охраны объектов . Кроме вышеперечисленных мер, к организационным мерам относятся:

· исключение случаев ведения особо важных работ только одним человеком;

· наличие плана восстановления работоспособности центра после выхода его из строя;

· организация обслуживания вычислительного центра посторонней организацией или лицами, незаинтересованными в сокрытии фактов нарушения работы центра;

· универсальность средств защиты от всех пользователей (включая высшее руководство);

· возложение ответственности на лицо, которое должно обеспечить безопасность центра;

· выбор места расположения центра и т.п.

Применяемые в отдельных предприятиях, организациях и учреждениях, фирмах, компаниях организационные меры защиты информации включают использование паролей и других средств, исключающих доступ к программным и информационным файлам, а также другие меры, которые в массовом масштабе не реализуются. В целях исключения неправомерного доступа к компьютерной информации предприятий, организаций и учреждений, фирм, компаний необходимо периодически реализовывать следующие организационные мероприятия :

· просматривать всю документацию соответствующего учреждения, организации, фирмы, компании;

· знакомиться с должностными инструкциями каждого сотрудника;

· определять возможные каналы утечки информации;


· намечать реальные мероприятия по ликвидации слабых звеньев в защите информации.

К техническим мерам можно отнести защиту от несанкционированного доступа к компьютерной системе, резервирование важных компьютерных систем, принятие конструкционных мер защиты от хищений и диверсий, обеспечение резервным электропитанием, разработку и реализацию специальных программных и аппаратных комплексов безопасности и т.д .

Все технические методы подразделяются на аппаратные, программные и комплексные. Аппаратные методы предназначены для защиты от неправомерного доступа аппаратных средств и средств связи. Аппаратные средства и методы защиты реализуются путем применения различных технических устройств специального назначения. К ним относятся:

· источники бесперебойного питания аппаратуры, а также различные устройства стабилизации, предохраняющие от резких скачкообразных перепадов напряжения и пиковых нагрузок в сети электропитания;

· устройства экранирования аппаратуры, линий проводной связи и помещений, в которых находится компьютерная техника;

· устройства определения и фиксации номера вызывающего абонента, работающие по принципу обычного телефонного автоматического определителя номера (АОН);

· устройства, обеспечивающие только санкционированный физический доступ пользователя на охраняемые объекты средств компьютерной техники (шифрозамки, устройства идентификации личности и т.д. и т.п.);

· устройства идентификации и фиксации терминалов пользователей при попытках несанкционированного доступа к компьютерной сети;

· средства охранно-пожарной сигнализации;

· средства защиты портов компьютерной техники.

Говоря о мерах защиты персональных компьютеров, необходимо назвать ключи блокировки, применяемые для опознания пользователей. Заметим, что эффективность защиты возрастает при использовании совокупности технических методов опознания пользователей и паролей доступа. Своеобразным ключом блокировки может являться специальное внешнее устройство, находящееся непосредственно у пользователя, приемная часть которого монтируется непосредственно в персональный компьютер и за счет блокировки обеспечивает доступ к ресурсам персонального компьютера. Ключевым блокирующим устройством должно быть как средство идентификации личности по физическим параметрам, так и средство аутентификации.

Незаконное копирование данных с машинных носителей или непосредственно из оперативного запоминающего устройства предотвращается с помощью специального кодирования хранящейся и обрабатываемой информации. Кодирование может производиться с помощью соответствующих подпрограмм и дополнительного кодирующего оборудования. Кодирование в этом случае используется как мера защиты и безопасности данных не только при хранении и обработке информации в персональном компьютере, но и при передаче данных от одного вычислительного комплекса к другому.

Практическое использование технических мер по защите данных показало, что одна треть предлагаемого производителями программного обеспечения для персональных компьютеров не имеет защиты информации. В остальных же случаях эти меры в основном ограничиваются программным контролем подлинности пользователя.

Программные методы защиты предназначены, для непосредственной защиты машинной информации, программных средств, компьютерной техники от несанкционированного ознакомления с ней пользователей, не имеющих допуска. Кроме того, программные средства защиты должны обеспечивать контроль за правильностью осуществления процессов ввода, вывода, обработки, записи, стирания, чтения и передачи информации по каналам связи. Все программные методы защиты подразделяются на следующие виды:

· пароли доступа;

· защита массивов информации;

· защита от вирусов;

· защита программ;

· защита баз данных;

· криптографические методы защиты.

Обеспечение защиты компьютерной информации должно представлять совокупность различных мероприятий, осуществляемых как во время разработки, так и на всех этапах эксплуатации системы автоматизированной обработки данных .

Для защиты информации при ее передаче обычно используют различные способы шифрования данных перед их вводом в канал связи или на физический носитель с последующей расшифровкой, в том числе криптографические. Как показывает практика, такие способы шифрования позволяют достаточно надежно скрыть смысл сообщения.

Для ограничения доступа к информационным ресурсам используются средства регистрации и средства контроля. Средства контроля доступа предназначены непосредственно для защиты, а задача средств регистрации заключается в обнаружении и фиксации уже совершенных действий преступника или попыток их совершения.

Возможна идентификация пользователя по электронной подписи, что регламентировано федеральным законом. Электронная подпись дает возможность не только гарантировать аутентичность документа в части его авторства, но и установить неискаженность (целостность) содержащейся в нем информации, а также зафиксировать попытки подобного искажения. Переданный получателю подписанный документ состоит из текста, электронной подписи и сертификата пользователя. Последний содержит в себе гарантированно подлинные данные пользователя, в том числе его отличительное имя и открытый ключ расшифрования для проверки подписи получателем либо третьим лицом, осуществившим регистрацию сертификата.

К программным методам защиты относится и защита базы данных,которая включает в себя защиту от любого несанкционированного или случайного их изменения или уничтожения. Дополнительной целью является защита от несанкционированного снятия информации внутри базы данных.

Следует отметить, что надежная защита компьютерной информации может быть обеспечена только при применении комплексных мер защиты. Комплексность состоит в использовании аппаратных и программных мер защиты. Только в этом случае удается достигнуть требуемого уровня защищенности как самой компьютерной техники, так и информации, находящейся в ней.

В целом организационные и технические меры защиты компьютерной информации должны составлять единый комплекс. Данным вопросам уделено довольно много внимания в специальной технической литературе и посвящено большое количество научных исследований и технических изысканий нашей стране и мире.

К правовым мерам защиты компьютерной информации и, в конечном итоге, обеспечения информационной безопасности РФ относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ. Правовые средства защиты информации представляют собой комплекс гражданско-правовых, административно-правовых и уголовно-правовых норм, регулирующих общественные отношения в сфере использования компьютерной информации и устанавливающих ответственность за несанкционированное использование данных программных средств .

Наиболее важными направлениями этой деятельности являются:

· разработка нормативной правовой базы в области обеспечения информационной безопасности Российской Федерации;

· создание условий для реализации прав граждан и общественных объединений на разрешенную законом деятельность в информационной сфере;

· определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации;

· оценка состояния информационной безопасности Российской Федерации, выявление источников внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;

· контроль деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, государственных и межведомственных комиссий, участвующих в решении задач обеспечения информационной безопасности Российской Федерации;

· предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на законные интересы граждан, общества и государства в информационной сфере, на осуществление судопроизводства по делам о преступлениях в этой области;

· защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти и органах государственной власти субъектов Российской Федерации, на предприятиях оборонного комплекса;

· обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в данной сфере и сертификации средств защиты информации.

Кроме того, к правовым мерам можно отнести комплекс мер, обеспечивающих соблюдение авторского права. К ним относятся документация, сопровождающая любой программный продукт, которая может выполнять функции защиты. Этому способствуют следующие факторы: ее репродуцирование стоит достаточно дорого, особенно если оригинал выполнен в цвете и не может быть качественно воспроизведен одноцветным копировальным устройством. Можно упомянуть упаковку программного продукта, выполняющую те же функции, что и документация. Одновременно применяется целый комплекс технических мер, препятствующих копированию программного обеспечения.

Классификация мер по защите информации в соответствии с ст. 16 π. 1 Федерального закона № 149-ФЗ представляет собой сочетание правовых, организационных и технических мер. При широкой трактовке понятия защита информации, которое в этом случае правильнее заменить на сочетание информационная безопасность, в перечень мер защиты должны быть включены и физические меры защиты.

Законодательные меры

Законодательные меры занимают около 5% объема средств, расходуемых на защиту информации. Это меры но разработке и практическому применению законов, постановлений, инструкций и правил эксплуатации, контроля как аппаратного, так и программного обеспечения компьютерных и информационных систем, включая линии связи, а также все объекты инфраструктуры, обеспечивающие доступ к этим системам. В России деятельность в информационной сфере регулируют более 1000 нормативных документов. Уголовное преследование за преступления в этой сфере осуществляется в соответствии с гл. 28 Уголовного кодекса РФ "Преступления в сфере компьютерной информации", содержащей три статьи.

  • 1. Статья 272 – несанкционированный доступ к информации. Несанкционированный доступ к информации – нарушение установленных правил разграничения доступа с использованием штатных средств, предоставляемых ресурсами вычислительной техники и автоматизированными системами (сетями). Отметим, что при решении вопроса о санкционированности доступа к конкретной информации необходимо наличие документа об установлении правил разграничения доступа, если эти правила не прописаны законодательно.
  • 2. Статья 273 – создание, использование и распространение (включая продажу зараженных носителей) вредоносных программ для ЭВМ, хотя перечень и признаки их законодательно не закреплены. Вредоносная программа – специально созданная или измененная существующая программа, заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ или их сети.
  • 3. Статья 274 – нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. Это – нарушение работы программ, баз данных, выдача искаженной информации, а также нештатное функционирование аппаратных средств и периферийных устройств; нарушение нормального функционирования сети, прекращение функционирования автоматизированной информационной систем в установленном режиме; сбой в обработке компьютерной информации.

Уголовное преследование за незаконные действия с общедоступной информацией осуществляется в соответствии со ст. 146 "Нарушение авторских и смежных прав" и 147 "Нарушение изобретательских и патентных прав" гл. 19 "Преступления против конституционных прав и свобод человека и гражданина" Уголовного кодекса РФ.

Ответственность за соблюдением сотрудниками организации или компании законодательных мер по защите информации лежит на каждом сотруднике организации или компании, а контроль за их соблюдением – на руководителе.

Физические меры

Физические меры (доля 15–20%) обеспечивают ограничение физического доступа к компьютеру, линии связи, телекоммуникационному оборудованию и контроль доступа. Физические меры защиты направлены на управление доступом физических лиц, автомобилей, грузов в охраняемую зону, а также на противодействие средствам агентурной и технической разведки. Эти меры включают: охрану периметра, территории, помещений; визуальное и видеонаблюдение; опознавание людей и грузов; идентификацию техники; сигнализацию и блокировку; ограничение физического доступа в помещения.

Выделяют три основные макрофункции физической защиты (рис. 11.2):

  • внешнюю защиту;
  • опознавание;
  • внутреннюю защиту.

Перечисленные средства служат для обнаружения угроз и оповещения сотрудников охраны или персонала объекта о появлении и нарастании угроз.

Из 12 разбитых по функциональному признаку групп более детально рассмотрим четыре группы, использующие в своей технической реализации собственные компьютерные средства либо пригодные для защиты самих рабочих помещений с компьютерами.

Охранная сигнализация. Основной элемент сигнализации – датчики, фиксирующие изменение одного или нескольких физических параметров, характеристик.

Датчики классифицируют по следующим группам:

  • объемные, позволяющие контролировать пространство помещений, например внутри компьютерных классов;
  • линейные, или поверхностные, для контроля периметров территорий, зданий, стен, проемов (окна, двери);
  • локальные, или точечные, для контроля состояния отдельных элементов (закрыто окно или дверь).

Датчики устанавливаются как открыто, так и скрытно. Наиболее распространены:

Выключатели (размыкатели), механически или магнитным способом замыкающие (размыкающие) управляю-

Рис. 11.2.

щую электрическую цепь при появлении нарушителя. Бывают напольные, настенные, на касание;

  • инфраакустические, устанавливаемые на металлические ограждения для улавливания низкочастотных колебаний, возникающих во время их преодоления;
  • датчики электрического ноля, состоящие из излучателя и нескольких приемников. Выполняются в виде натянутых между столбами проводов-кабелей. Изменение поля при появлении нарушителя и фиксируется датчиком;
  • инфракрасные датчики (излучатель – диод либо лазер), используемые для сканирования поверхностей или объемов помещений. Тепловая "фотография" запоминается и сравнивается с последующей для выявления факта перемещения объекта в защищаемом объеме;
  • микроволновые – сверхвысокочастотный передатчик и приемник;
  • датчики давления, реагирующие на изменение механической нагрузки на среду, в которой они уложены или установлены;
  • магнитные датчики (в виде сетки), реагирующие на металлические предметы, имеющиеся у нарушителя;
  • ультразвуковые датчики, реагирующие на звуковые колебания конструкций в области средних частот (до 30– 100 кГц);
  • емкостные, реагирующие на изменение электрической емкости между полом помещения и решетчатым внутренним ограждением при появлении инородного объекта.

Средства оповещения и связи. Всевозможные сирены, звонки, лампы, подающие постоянный или прерывистые сигналы о том, что датчик зафиксировал появление угрозы. На больших расстояниях используют радиосвязь, на малых – специальную экранированную защищенную кабельную разводку. Обязательное требование – наличие автоматического резервирования электропитания средств сигнализации.

Охранное телевидение. Распространенное физическое средство защиты. Главная особенность – возможность не только фиксировать визуально факт нарушения режима охраны объекта и контролировать обстановку вокруг объекта, но и документировать факт нарушения, как правило, с помощью видеомагнитофона.

В отличие от обычного телевидения, в системах охранного ТВ монитор принимает изображение от одной или нескольких видеокамер, установленных в известном только ограниченному кругу лиц месте (так называемое закрытое ТВ). Естественно, что кабельные линии для передачи сигналов охранного ТВ не должны быть доступны иным лицам, кроме охраны. Мониторы располагаются в отдельных помещениях, доступ в которые должен быть ограничен.

Рассмотренные выше три группы относятся к категории средств обнаружения вторжения или угрозы.

Естественные средства противодействия вторжению. Сюда относятся естественные или искусственные барьеры (водные преграды, сильно пересекающаяся местность, заборы, спецограждения, особые конструкции помещений, сейфы, запираемые металлические ящики для компьютеров и т.п.).

Средства ограничения доступа, в состав которых входит компьютерная техника. Сюда относятся биометрические или иные, использующие внешние по отношению к компьютеру носители паролей или идентифицирующих кодов: пластиковые карты, флеш-карты, таблетки Touch Memory и другие средства ограничения доступа.

Биометрические средства ограничения доступа. Особенность биометрических методов допуска состоит в их статистической природе. В процессе проверки объекта при наличии ранее запомненного кода устройство контроля выдает сообщение по принципу "совпадает" или "не совпадает". В случае считывания копии биологического кода и его сравнения с оригиналом речь идет о вероятности ошибки, которая является функцией чувствительности, разрешающей способности и программного обеспечения контролирующего доступ прибора. Качество биометрической системы контроля доступа определяется следующими характеристиками:

  • вероятностью ошибочного допуска "чужого" – ошибка первого рода;
  • вероятностью ошибочного задержания (отказа в допуске) "своего" легального пользователя – ошибка второго рода;
  • временем доступа или временем идентификации;
  • стоимостью аппаратной и программной частей биометрической системы контроля доступа, включая расходы на обучение персонала, установку, обслуживание и ремонт.

Бо́льшая часть биометрических средств защиты реализована на трех компонентах: сканер (датчик) – преобразователь (сигналы датчика в цифровой код для компьютера) – компьютер (хранитель базы биометрических кодов – характеристик объекта, сравнение с принятой от датчика информацией, принятие решения о допуске объекта или блокировании его доступа).

В качестве уникального биологического кода человека в биометрии используются параметры двух групп.

Поведенческие, основанные на специфике действий человека, – это тембр голоса, подпись, индивидуальная походка, клавиатурный почерк. Главный недостаток поведенческих характеристик – временна́я неустойчивость, т.е. возможность значительного изменения со временем. Это в значительной степени ограничивает применение поведенческих характеристик как средств ограничения доступа. Однако на протяжении относительно короткого временно́го интервала они применимы как идентифицирующие личность средства. Пример – фиксация клавиатурного почерка работающего в процессе осуществления им сетевой атаки и последующий (после задержания злоумышленника) контрольный набор определенного текста желательно на изъятой у него клавиатуре (лучше на его же компьютере).

Физиологические, использующие анатомическую уникальность каждого человека, – радужная оболочка глаза, сетчатка глаза, отпечатки пальцев, отпечаток ладони, геометрия кисти руки, геометрия лица, термограмма лица, структура кожи (эпителия) на пальцах на основе ультразвукового цифрового сканирования, форма ушной раковины, трехмерное изображение лица, структура кровеносных сосудов руки, структура ДНК, анализ индивидуальных запахов. Справедливости ради отметим, что бо́льшая часть перечисленных биометрических средств пока не производится в массовых масштабах.

Устройства биометрического контроля начали распространяться в России еще до 2000 г. Однако из-за высокой цены на российских рынках (десятки тысяч долларов за устройство) подобная техника была экзотикой. Сегодня биометрические средства доступны и имеют устойчивый спрос в России. Иная причина – осознание необходимости защиты от преступности у нас в стране. Как показывает опыт, сложность применяемых устройств контроля допуска растет. Раньше в России на режимных предприятиях применялись замки с PIN-кодом, затем появились магнитные пластиковые карты, которые необходимо было провести через специальные устройства считывания, еще позднее – карточки дистанционного считывания. Опыт, в том числе и российский, показывает, что данные средства эффективны только от случайного посетителя и слабы при жестких формах преступности, когда похищаются и пароли входа в информационную систему, и пластиковые карточки, оказывается давление на отдельных сотрудников служб охраны и безопасности.

Уровень современной биометрической защиты весьма высок: он исключает возможность взлома даже в ситуации, когда злоумышленник пытается использовать труп или изъятые органы. Возможность технического взлома базы эталонов или их подмены на этапе идентификации, как правило, исключена: сканер и каналы связи сильно защищены, а компьютер дополнительно изолирован от сети и не имеет даже терминального доступа.

Известная компания Identix, занимающаяся автоматизированным дактилоскопическим оборудованием, прошла регистрацию в 52 странах. Ее серийно выпускаемое оборудование решает следующие идентификационные задачи:

  • контроль физического доступа в здание, на стоянки автомашин и в другие помещения;
  • контроль компьютерных станций (серверов, рабочих мест) и систем телекоммуникаций;
  • контроль доступа к сейфам, складам и т.п.;
  • идентификация в электронной коммерции;
  • контроль членства в различных организациях и клубах;
  • паспортный контроль;
  • выдача и контроль виз, лицензий;
  • контроль времени посещения;
  • контроль транспортных средств;
  • идентификация кредитных и смарт-карт.

В табл. 11.1 сопоставлены характеристики промышленных биометрических систем контроля доступа.

Таблица 11.1

Характеристики промышленных биометрических систем контроля доступа

Ограничителем распространения биометрических средств контроля доступа в ряде стран выступает действующее на их территории законодательство. В России действует закон о персональных данных (Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных", введен в действие с 26 января 2007 г.). Подобные законы существуют в других странах, а в некоторых отсутствуют. Статья 11 "Биометрические персональные данные" указанного Закона не содержит исчерпывающего перечня параметров, которые можно отнести к этим данным.

Несомненно, что создание пусть небольших, локальных баз данных, содержащих идентифицирующую гражданина информацию, должно регулироваться законодательно с обязательными мерами ответственности за несанкционированное раскрытие или искажение подобной информации.

Пластиковые карты. Лидером среди переносных носителей персональных идентификационных кодов (PIN) и кодов физического доступа остаются пластиковые карты.

Пластиковая карта представляет собой пластину стандартных размеров (85,6x53,9x0,76 мм), изготовленную из специальной устойчивой к механическим и термическим воздействиям пластмассы. Основная функция пластиковой карты – обеспечение идентификации владельца карты как субъекта системы физического доступа или платежной системы. Па пластиковую карту наносят:

  • логотип банка-эмитента (выпустившего карту);
  • логотип или название платежной системы, обслуживающей карту;
  • имя держателя карты;
  • номер его счета;
  • срок действия.

Могут присутствовать фотография, подпись владельца и другие параметры.

Алфавитно-цифровые данные – имя, номер счета и другие могут быть нанесены рельефным шрифтом (эмбоссированы), что позволяет при ручной обработке быстро перенести данные с карты на чек с помощью импринтера, осуществляющего "прокатку" карты.

По принципу действия карты делятся на две группы – пассивные и активные.

Пассивные карты только хранят информацию на носителе, но не обеспечивают ее автономной обработки. Пример – широко распространенные во всем мире карты с магнитной полосой на обратной стороне (три дорожки). Две дорожки хранят идентификационные записи. На третью можно записывать, например, текущее значение лимита дебетовой карты. Из-за невысокой надежности магнитного покрытия обычно карты используют только в режиме чтения. При работе с картой необходимо установление связи между банком и банкоматом, что возможно только там, где хорошо развита инфраструктура связи. Данный вид карт уязвим для мошенничества, поэтому системы Visa и MasterCard/Europay используют дополнительные средства защиты карт – голограммы и нестандартные шрифты для эмбоссирования.

Активные пластиковые карты содержат встроенную микросхему и допускают разную степень обработки информации без участия банка, обслуживающего платежную систему. Типичный пример – карты-счетчики и карты с памятью. Но они уступают место интеллектуальным или смарт-картам, в состав которых входит не просто микросхема, а специализированный процессор. Сама карта представляет собой микрокомпьютер, способный при подключении к банкомату самостоятельно (без участия банка, т.е. в режиме offline) проводить не только идентификацию клиента, но и выполнение ряда финансовых операций: снятие денег со счета, безналичную оплату счетов и товаров.

Хотя имеются случаи искажения информации, хранимой в смарт-картах, а также нарушения их работоспособности за счет воздействия высокой или низкой температуры, ионизирующих излучений, данный вид карт обладает высокой надежностью и вытесняет другие виды карт.

Организационные (административные) меры

Административные меры (доля 50–60%) включают:

  • разработку политики безопасности применительно к конкретной информационной системе (какие профили, какие пароли, какие атрибуты, какие права доступа);
  • разработку средств управления безопасностью (кто, когда и в каком порядке изменяет политику безопасности);
  • распределение ответственности за безопасность (кто и за что отвечает при нарушении политики безопасности);
  • обучение персонала безопасной работе и периодический контроль за деятельностью сотрудников;
  • контроль за соблюдением установленной политики безопасности;
  • разработку мер безопасности на случай природных или техногенных катастроф и террористических актов.

Ответственность за соблюдением в организации или компании организационных (административных) мер по защите информации лежит на руководителе, начальнике службы безопасности (информационной безопасности), системном (сетевом) администраторе.

Положение о мерах по обеспечению Защиты информации.

Общие положения

Использование автоматизированных систем значительно повышает эффективность работы организации и одновременно создает предпосылки искажения и потери информации за счет отказов, сбоев, ошибочных или злонамеренных действий обслуживающего персонала, несанкционированных действий третьих лиц, компьютерных преступлений.

Использование сетевых технологий в обработке информации выдвигает проблему безопасности на первый план.

В данном документе определяются следующие аспекты обеспечения безопасности:

  • ограничение доступа к аппаратным средствам;
  • соблюдение норм безопасности на рабочих местах;
  • доступ пользователей к сетевым ресурсам;
  • разграничение прав на уровне прикладных программ;
  • безопасность при работе с электронной почтой;
  • безопасность при работе с Интернет;
  • защита информации при работе с электронными финансовыми документами;
  • обеспечение защиты при передаче финансовой информации.

1. Защита аппаратных средств

Компьютерное оборудование должно располагаться в местах, которые исключают возможность доступа посторонних лиц без ведома сотрудников организации. Основные серверы должны располагаться в отдельных комнатах серверных, в которые имеет доступ ограниченный круг сотрудников службы автоматизации организации. Перечень этих сотрудников должен утверждаться уполномоченным руководителем организации.

Структура сети должна сводить к минимуму вероятность несанкционированного подключения к магистральным кабелям и/или коммутирующим устройствам.

Для защиты компьютеров, установленных вне территории, контролируемой организацией, должны быть выполнены следующие дополнительные требования:

  • корпус компьютера должен быть опломбирован;
  • настройка BIOS компьютера должна быть защищена паролем администратора;
  • запуск компьютера должен осуществляться после ввода пароля пользователя (этот пароль контролируется BIOS );
  • пароли администратора BIOS и пользователя должны иметь длину не менее 6 знаков и не должны совпадать друг с другом;
  • если специфика работы пользователя позволяет это, то должны быть заблокированы (отключены физически или путем соответствующей настройки BIOS ) такие устройства, как CD-дисковод, дисковод гибкого диска (дискеты ), порты USB;

2. Соблюдением норм безопасности на рабочих местах

Каждый сотрудник обязан в течение рабочего времени обеспечить защиту от несанкционированного доступа к информации на своем компьютере. На рабочих местах пользователей системы это достигается применением аутентификации при загрузке ОС компьютера и блокировкой клавиатуры при временном уходе с рабочего места.

В подразделениях организации должен быть обеспечен постоянный визуальный контроль сотрудников за компьютерами временно отлучившихся коллег.

При выводе информации на печатающее устройство сотрудники обязаны контролировать процесс печати, при этом принтер не должен оставаться без присмотра. Все распечатанные документы необходимо забирать на рабочее место. Бумажные документы, необходимость дальнейшего использования которых отпала, должны уничтожаться в установленном в организации порядке, т.е. с использованием соответствующего оборудования, исключающего возможность восстановления их содержания.

При необходимости установки на компьютере новой программы пользователь обязан обратиться в Управление автоматизации для выполнения соответствующих действий. Самостоятельная установка программ, равно как и самостоятельное изменение настроек компьютера, операционной системы и прикладных программ, изменение конфигурации компьютера не допускаются. Каждый сотрудник организации несет ответственность за наличие на своей машине посторонних программ и другой неслужебной электронной информации.

При работе сотрудников организации с клиентами желательно исключить возможность просмотра клиентами содержимого экрана монитора. Это достигается взаимным расположением сотрудника и обслуживаемого клиента «лицом к лицу» и соответствующим разворотом монитора.

Особую осторожность необходимо соблюдать при вводе паролей: как сетевых, так и паролей, используемых в прикладных программах. Запрещается записывать или сохранять в файлах информацию о паролях пользователей.

3. Защита на уровне локальной вычислительной сети

3.1. Регистрация пользователей в сети

Система контроля доступа к локальной сети определяет:

  • какие пользователи могут работать на файловом сервере;
  • в какие дни и в какое время пользователи могут работать;
  • с каких рабочих станций пользователи могут работать.

Регистрация учётной записи пользователя на Сервере ЛВС производится Администратором на основании заявки, подписанной руководителем подразделения, в котором работает сотрудник.

Для контроля доступа к сети организации каждому пользователю присваивается один уникальный идентификатор (сетевое имя ), который выдается ему Администратором ЛВС при регистрации, и временный пароль для первичного подключения к сети. При первом подключении к сети система контроля доступа проверит правильность временного пароля и, при положительном результате проверки, предложит сменить пароль на постоянный. Длина пароля, выбираемого пользователем, должна быть достаточной для обеспечения разумной стойкости к подбору, как правило это 6 и более символов. Срок действия пароля должен быть ограничен и составляет, как правило, один год или менее.

Заявка на доступ пользователя к ресурсам ЛВС подписывается руководителем подразделения.

При увольнении сотрудника, отстранении его от работы, изменении его служебных обязанностей и функций, его непосредственный руководитель обязан своевременно письменно известить об этом администратора ЛВС. Администратор обязан немедленно произвести соответствующие изменения в настройках учетной записи и/или в наборе полномочий (прав) пользователя.

Каждому пользователю ЛВС при его регистрации может устанавливаться ограничение на количество соединений с каждым из серверов – как правило, одно подключение к каждому из серверов, необходимых для работы пользователя. В качестве дополнительной защиты может использоваться привязка сетевых имён к MAC-адресам рабочих станций.

В случае необходимости временной передачи полномочий одного пользователя ЛВС другому руководитель соответствующего подразделения обязан своевременно письменно известить об этом администратора ЛВС. В извещении указываются дата начала и дата отмены делегирования полномочий одного пользователя другому. Администратору запрещается делегирование полномочий пользователей по устной просьбе руководителей подразделений и сотрудников. Не допускается передача сетевого имени и/или пароля от одного пользователя другому.

Заявки на подключение, делегирование полномочий и отключение (блокировку ) пользователей к ресурсам сети сохраняются администратором.

Обо всех попытках несанкционированного доступа к информации в ЛВС Администратор обязан немедленно сообщать начальнику управления автоматизации.

Администратор обязан иметь возможность оперативного получения списка пользователей, групп и структуру их доступа к сетевым ресурсам.

3.2. Разграничение доступа к ресурсам сети

Разграничение прав доступа к определенным базам данных и программам, расположенным на файловых серверах, производится на уровне сетевых устройств и директорий. В случае использования серверных СУБД следует использовать их внутренние механизмы аутентификации пользователей и защиты данных.

Для организации совместной работы с ресурсами Сервера и обмена данными через Сервер создаются группы пользователей (например, по принципу административного деления, по используемым приложениям, каталогам и т.п. ). Каждая группа имеет права доступа к определённым ресурсам. Права доступа групп, как правило, не пересекаются.

Каждый пользователь в соответствии с его функциональными обязанностями принадлежит к одной или нескольким группам пользователей.

На Серверах должны отсутствовать учетные записи общего пользования, такие как Guest.

4. Разграничение прав доступа на уровне прикладных программ

Для работы с системами организации каждый пользователь должен иметь свой уникальный идентификатор и/или пароль. В зависимости от выполняемых операций пользователю дается доступ к определенным компонентам системы. При этом ограничивается доступ на уровне используемых функций и выполняемых операций. На самом низком уровне для исполнителей определяются группы доступных счетов и полномочия по работе с этими счетами.

Заявка на доступ пользователя к программам подписывается руководителем подразделения и визируется главным бухгалтером организации.

Функции по назначению прав доступа пользователей к прикладным системам возлагаются на Администраторов систем и программ.

5. Использование корпоративной почтовой системы

Каждый пользователь почтовой системы должен иметь свой уникальный идентификатор и пароль. За подключение пользователей к системе и проведение необходимых регламентных работ отвечает Администратор почтовой системы.

Запрещается использование почтовой системы для пересылки сообщений, не относящихся к работе организации: личной переписки, спама и т.п.

Запрещается пересылка сообщений, содержащих коммерческую и др. виды тайны, в открытом (не защищенном СКЗИ ) виде.

При получении сообщений, содержащих присоединенные файлы, сотрудник должен обеспечить антивирусный контроль этих файлов до момента их использования в прикладных программах.

На корпоративном почтовом сервере целесообразно использование антиспам и антивирусного фильтров.

6. Меры безопасности при работе c Интернет

Основной задачей при взаимодействии с Интернет является защита внутренней сети. Обязательно использование межсетевых экранов (firewall), физическое разделение ресурсов внешней сети от внутренней сети организации.

Поскольку объединение сетей организации, филиалов и доп. офисов осуществляется посредством VPN, построенной на базе Интернет, необходимо обеспечить надежную защиту периметра объединенной сети в каждом из обособленных подразделений. Это достигается использованием соответствующих технических и/или программных средств: VPN-роутеров, брандмауэров, применением антивирусного программного обеспечения.

Запрещается использование доступа в Интернет в личных целях или для неслужебных задач.

В случае появления признаков нестандартного поведения или нестабильной работы компьютера при доступе в интернет, а также при сигналах о попытке заражения от антивирусной системы, необходимо немедленно известить об этом администратора ЛВС организации.

7. Защита при передаче финансовой информации

При обмене платежными документами должны использоваться средства криптозащиты передаваемой информации: шифрование и электронная цифровая подпись (ЭЦП ). Разрешается использовать только сертифицированные средства криптозащиты.

Сотрудники, ответственные за формирование ключевых дискет для средств криптозащиты (администраторы безопасности ), назначаются приказом по организации. Все действия по генерации и передаче ключей должны документироваться администраторами безопасности в специальных журналах.

8. Дополнительные требования к соблюдению норм безопасности при эксплуатации системы «Клиент-Банк»

Требуется соблюдение мер безопасности, предписанных соответствующими документами уполномоченных органов, для обеспечения безопасности в организации, занимающейся техническим обеспечением, распространением и эксплуатацией программ защиты информации по классу «С ».

Требуется соблюдение мер безопасности с работой в системе «Клиент-Банк ».

Доступ в помещение, в котором установлен компьютер, который передаёт и принимает документы по системе «Клиент-Банк » должен быть предоставлен лишь ограниченному кругу лиц, список которых отражен в соответствующих приказах по организации.

В связи с тем, что компьютер с программным обеспечением передачи и приема файлов от участников системы «Клиент-Банк » напрямую подключен к внешним вычислительным сетям, необходимо:

1. Предпринять меры, обеспечивающие невозможность для внешнего пользователя входа с этого компьютера во внутреннюю сеть организации.

2. Вся конфиденциальная информация, хранящаяся на этом компьютере, должна подвергаться шифрованию или иному преобразованию с целью невозможности ее несанкционированного использования.

Все операции и действия, происходящие в системе «Клиент-Банк », должны записываться в файлы (журналы ) протоколов.

С целью быстрого восстановления системы, необходимо ежедневное создание ее резервных копий, которые должны храниться на другом компьютере, физически расположенном в другом помещении организации.

9. Обеспечение целостности и достоверности информации

Периодически должны осуществляться профилактические сканирования жестких дисков компьютеров с помощью антивирусных программ. При использовании съёмных носителей электронной информации обязательна их проверка антивирусной программой при первой установке (а для перезаписываемых носителей – при каждой установке ) в компьютер.

Резервное копирование основной информации, хранящейся в электронном виде на серверах организации, должно осуществляться ежедневно. Необходимо иметь копию баз данных операционной деятельности на начало дня.

Архивная информация подлежит копированию в двух экземплярах на носители длительного хранения (CD-ROM, DVD-ROM магнитооптические диски и т.п. ). Хранить копии архивной информации следует в отдельно стоящих хранилищах, обеспечивающих надлежащие условия их содержания и невозможность несанкционированного доступа к ним.

Скачать ZIP файл (20862)

Пригодились документы - поставь «лайк»:

Физическая система защиты системы и данных может осуществляться только в отношении рабочих ЭВМ и узлов связи и оказывается невозможной для средств передачи, имеющих большую протяженность. По этой причине в ИВС должны использоваться средства, исключающие несанкционированный доступ к данным и обеспечивающие их секретность.

Неизбежным средством борьбы с этой опасностью стали постоянно увеличивающиеся расходы на защиту информации. Например, по оценке немецких экспертов лишь в 1987 году в промышленности и учебных заведениях Западной Европы потрачено

1 к 7 млрд марок на обеспечение безопасности компьютеров.

Исследования практики функционирования систем обработки информации и вычислительных систем доказали, что существует достаточно много возможных направлений утечки информации и путей несанкционированного доступа в системах и сетях.

В их числе:

  • - чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
  • - копирование носителей и файлов информации с преодолением мер защиты;
  • - маскировка под зарегистрированного пользователя;
  • - маскировка под запрос системы;
  • - использование программных ловушек;
  • - использование недостатков операционной системы;
  • - незаконное подключение к аппаратуре и линиям связи;
  • - злоумышленный вывод из строя механизмов защиты;
  • - внедрение и использование компьютерных вирусов.

Обеспечение безопасности информации в ИВС и в автономно работающих ПЭВМ достигается комплексом организационных, организационно-технических, технических и программных мер.

К организационным мерам защиты информации относятся:

  • - ограничение доступа в помещения, в которых происходит подготовка и обработка информации;
  • - доступ к обработке и передаче конфиденциальной информации только проверенных должностных лиц;
  • - хранение магнитных носителей и регистрационных журналов в закрытых для доступа посторонних лиц сейфах;
  • - исключение просмотра посторонними лицами содержания обрабатываемых материалов через дисплей, принтер и т.д.;
  • - использование криптографических кодов при передаче информации по каналам связи ценной информации;
  • - уничтожение красящих лент, бумаги и иных материалов, содержащих фрагменты ценной информации.

Организационно-технические меры зашиты информации включают:

  • - осуществление питания оборудования, обрабатывающего ценную информацию от независимого источника или через специальные фильтры;
  • - установку на дверях помещений кодовых замков;
  • - использование для отображения информации при вводе- выводе жидкокристаллических или плазменных дисплеев, а для получения твердых копий -- струйных принтеров и термопринтеров, поскольку дисплей дает такое высокочастотное электромагнитное излучение, что изображение с его экрана можно принимать на расстоянии нескольких сотен километров;
  • - уничтожение информации, хранящейся в ОЗУ и на «винчестере» при списании или отправке ПЭВМ в ремонт;
  • - установка клавиатуры и принтеров на мягкие прокладки с целью снижения возможности снятия информации акустическим способом;
  • - ограничение электромагнитного излучения путем экранирования помещений, где происходит обработка информации, листами из металла или специальной пластмассы.

Технические средства защиты информации -- это системы охраны территорий и помещений с помощью экранирования машинных залов и организация контрольно-пропускных систем.

Защита информации в сетях и вычислительных средствах с помощью технических средств реализуется на основе организации доступа к памяти с помощью:

  • - контроля доступа к различным уровням памяти компьютера;
  • - блокировки данных и ввода ключей;
  • - выделения контрольных битов для записей с целью идентификации и др.

Архитектура программных средств защиты информации включает:

  • - контроль безопасности, в том числе и контроль регистрации вхождения в систему, фиксацию в системном журнале, контроль действий пользователя;
  • - реакцию, в том числе звуковую, на нарушение системы защиты контроля доступа к ресурсам сети;
  • - контроль мандатов доступа;
  • - формальный контроль защищенности операционных систем (базовой операционной и сетевой);
  • - контроль алгоритмов защиты;
  • - проверку и подтверждение правильности функционирования технического и программного обеспечения.

Для надежной защиты информации и выявления случаев неправомочных действий проводится регистрация работы системы: создаются специальные дневники и протоколы, в которых фиксируются все действия, имеющие отношение к защите информации в системе. Фиксируются время поступления заявки, ее тип, имя пользователя и терминала, с которого инициализируется заявка. При отборе событий, подлежащих регистрации, необходимо иметь в виду, что с ростом количества регистрируемых событий, затрудняется просмотр дневника и обнаружение попыток преодоления защиты. В этом случае можно применять программный анализ и фиксировать сомнительные события.

Используются также специальные программы для тестирования системы защиты. Периодически или в случайно выбранные моменты времени они проверяют работоспособность аппаратных и программных средств защиты.

К отдельной группе мер по обеспечению сохранности информации и выявлению несанкционированных запросов относятся программы обнаружения нарушений в режиме реального времени. Программы данной группы формируют специальный сигнал при регистрации действий, которые могут привести к неправомерным действиям по отношению к защищаемой информации. Сигнал может содержать информацию о характере нарушения, месте его возникновения и другие характеристики. Кроме того, программы могут запретить доступ к защищаемой информации или симулировать такой режим работы (например, моментальная загрузка устройств ввода-вывода), который позволит выявить нарушителя и задержать его соответствующей службой.

Один из распространенных способов защиты -- явное указание секретности выводимой информации. В системах, поддерживающих несколько уровней секретности, вывод на экран терминала или печатающего устройства любой единицы информации (например, файла, записи или таблицы) сопровождается специальным грифом с указанием уровня секретности. Это требование реализуется с помощью соответствующих программных средств.

В отдельную группу выделены средства зашиты от несанкционированного использования программного обеспечения. Они приобретают особое значение вследствие широкого распространения персональных компьютеров. Исследования, проведенные зарубежными исследователями, свидетельствуют, что на одну проданную копию оригинальной программы приходится минимум одна нелегальная. А для особо популярных программ это соотношение достигает 1:7.

Особое внимание уделяется законодательным средствам, регулирующим использование программных продуктов. В соответствии с Законом Российской Федерации об информации, информатизации и защите информации от 25 января 1995 года предусматриваются санкции к физическим и юридическим лицам за нелегальное приобретение и использование программных продуктов.

Большую опасность представляют компьютерные вирусы.

Компьютерный вирус -- это специально написанная небольшая по размерам программа, которая может приписывать себя к другим программам (т.е. «заражать» их), а также выполнять различные нежелательные действия. Программа, внутри которой находится компьютерный вирус, называется зараженной. Когда такая программа начинает работу, то сначала управление получает вирус, который находит и заражает другие программы, а также выполняет ряд вредных действий, в частности «засоряет» активную память, портит файлы и т. д.

Для маскировки вируса его действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении каких-либо условий. После того, как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает как обычно, т. е. внешне работа зараженной программы какое-то время не отличается от работы незараженной программы.

Действия вируса могут выполняться достаточно быстро и без выдачи сообщений, поэтому пользователь часто и не замечает, что компьютер работает несколько странно. Однако по прошествии некоторого времени, на компьютере может происходить следующее:

  • - некоторые программы перестают работать или работают неправильно;
  • - на экран выводятся посторонние сообщения, символы, рисунки и т. д.;
  • - работа на компьютере существенно замедляется;
  • - некоторые файлы оказываются испорченными и т.д.

Многие вирусы устроены так, что при запуске зараженной

программы они остаются постоянно (точнее, до перезагрузки ОС) в памяти компьютера и время от времени заражают программы. Кроме того, зараженные программы с данного компьютера могут быть перенесены с помощью дискет или по локальной сети на другие компьютеры.

Если не принимать мер по защите от вируса, то последствия заражения вирусом компьютера могут быть серьезными. В число средств и методов защиты от компьютерных вирусов входят:

  • - общие средства защиты информации, которые полезны так же, как и страховка от физической порчи машинных дисков, неправильно работающих программ или ошибочных действий пользователя;
  • - профилактические меры, позволяющие уменьшить вероятность заражения вирусов;
  • - специализированные программы для защиты от вирусов.

Комплексное решение вопросов безопасности ИВС принято

именовать архитектурой безопасности, где выделяются угрозы безопасности, службы безопасности и механизмы обеспечения безопасности.

Под угрозой безопасности понимается событие или действие, которое может привести к разрушению, искажению или несанкционированному использованию ресурсов сети, включая хранимую и обрабатываемую информацию, а также программные и аппаратные средства.

Угрозы распределяются на случайные (непреднамеренные) и умышленные. Источником первых могут быть ошибки в ПО, неправильные действия пользователей, выход из строя аппаратных средств и др.

Умышленные угрозы преследуют цель нанесения ущерба пользователям (абонентам) вычислительной сети и подразделяются на активные и пассивные.

Пассивные угрозы не разрушают информационные ресурсы и не оказывают влияния на функционирование ИВС. Их задача -- несанкционированно получить информацию. Активные угрозы преследуют цель нарушить процесс функционирования ИВС путем разрушения или радиоэлектронного подавления линий связи ИВС, вывода из строя ЭВМ или ее операционной системы, искажения баз данных и т. д. Источником активных угроз могут быть непосредственные действия людей -- злоумышленников, компьютерные вирусы и т. д.

Служба безопасности вычислительной сети призвана обеспечить:

  • - подтверждение подлинности того, что объект, который предлагает себя в качестве отправителя информации в сети, действительно им является;
  • - целостность информации, выявляя искажения, вставки, повторы и уничтожение данных, передаваемых в сетях, а также последующее восстановление данных;
  • - секретность всех данных, передаваемых по сетям;
  • - нейтрализацию всех попыток несанкционированного использование ресурсов ЭВМ. При этом контроль доступа может быть избирательным, т.е. распространяться только на некоторые виды доступа к ресурсам, например, на обновление информации в базе данных, либо полным;
  • - получателя информации доказательствами, что информация получена от данного отправителя, несмотря на попытки отправителя отрицать факт отправления;

К механизмам обеспечения безопасности относятся:

  • - идентификация пользователей;
  • - шифрование данных;
  • - электронная подпись;
  • - управление маршрутизацией и др.

Идентификация пользователей позволяет устанавливать конкретного пользователя, работающего за терминалом и принимающего или отправляющего сообщения. Право доступа к определенным вычислительным и информационным ресурсам, программам и наборам данных, а также ВС в целом предоставляется ограниченному контингенту лиц, и система должна распознавать пользователей, работающих за терминалами. Идентификация пользователей чаще всего производится с помощью паролей.

Пароль -- это совокупность символов, известных подключенному к сети абоненту, вводится в начале сеанса взаимодействия с сетью, а иногда и в конце сеанса (в особо ответственных случаях пароль выхода из сети может отличаться от входного). Система может предусматривать ввод пароля для подтверждения правомочия пользователя через определенные интервалы времени.

Для защиты средств идентификации пользователей от неправомочного использования, пароли передаются и сравниваются в зашифрованном виде, а таблицы паролей хранятся в зашифрованном виде, что исключает возможность прочтения паролей без знания ключа.

Для идентификации пользователей могут применять и физические методы: например, карточка с магнитным покрытием, на котором записывается персональный идентификатор пользователя или карточка со встроенным чипом.

Наиболее надежным, хотя и наиболее сложным является способ идентификации пользователя на основе анализа его индивидуальных параметров: отпечатков пальцев, рисунков линий руки, радужной оболочки глаз и др.

Шифрование данных -- это обеспечение секретности методами криптографии, т. е. методами преобразования данных из общепринятой формы в кодированную (шифрование) и обратного преобразования (дешифрования) на основе правил, известных только взаимодействующим абонентам сети. Криптография применяется для защиты передаваемых данных, а также информации, хранимой в базах данных, на магнитных и оптических дисках и т. д.

К криптографическим средствам предъявляются требования сохранения секретности, даже когда известна сущность алгоритмов шифрования -- дешифрования. Секретность обеспечивается введением в алгоритмы специальных ключей (кодов). Зашифрованный текст превращается в исходный только в том случае, когда в процессе шифрования и дешифрования используется один и тот же ключ. Область значений ключа выбирается столь большой, что практически исключается возможность его определения путем простого перебора.

Для обеспечения безопасности информации в офисных сетях проводятся различные мероприятия, объединяемые понятием «система защиты информации». Система защиты информации - это совокупность мер, программно-технических средств, правовых и морально-этических норм, направленных на противодействие угрозам нарушителей с целью сведения до минимума возможного ущерба пользователям и владельцам системы.

Традиционные меры для противодействия утечкам информации подразделяются на технические и организационные Конахович Г. Защита информации в телекоммуникационных системах. - М.: МК-Пресс, 2005.С.123..

К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое.

К организационным мерам можно отнести охрану серверов, тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности сервера после выхода его из строя, универсальность средств защиты от всех пользователей (включая высшее руководство).

Несанкционированный доступ к информации может происходить во время профилактики или ремонта компьютеров за счет прочтения остаточной информации на носителях, несмотря на ее удаление пользователем обычными методами. Другой способ - прочтение информации с носителя во время его транспортировки без охраны внутри объекта или региона.

Современные компьютерные средства построены на интегральных схемах. При работе таких схем происходят высокочастотные изменения уровней напряжения и токов, что приводит к возникновению в цепях питания, в эфире, в близрасположенной аппаратуре и т.п. электромагнитных полей и наводок, которые с помощью специальных средств можно трансформировать в обрабатываемую информацию. С уменьшением расстояния между приемником нарушителя и аппаратными средствами вероятность такого рода съема и расшифровки информации увеличивается.

Несанкционированное ознакомление с информацией возможно также путем непосредственного подключения нарушителем «шпионских» средств к каналам связи и сетевым аппаратным средствам.

Традиционными методами защиты информации от несанкционированного доступа являются идентификация и аутентификация, защита паролями. Коржов В. Стратегия и тактика защиты.//Computerworld Россия.- 2004.-№14.С.26.

Идентификация и аутентификация. В компьютерных системах сосредоточивается информация, право на пользование которой принадлежит определенным лицам или группам лиц, действующим в порядке личной инициативы или в соответствии с должностными обязанностями. Чтобы обеспечить безопасность информационных ресурсов, устранить возможность несанкционированного доступа, усилить контроль санкционированного доступа к конфиденциальной либо к подлежащей засекречиванию информации, внедряются различные системы опознавания, установления подлинности объекта (субъекта) и разграничения доступа. В основе построения таких систем находится принцип допуска и выполнения только таких обращений к информации, в которых присутствуют соответствующие признаки разрешенных полномочий.

Ключевыми понятиями в этой системе являются идентификация и аутентификация. Идентификация - это присвоение какому-либо объекту или субъекту уникального имени или образа. Аутентификация - это установление подлинности, т.е. проверка, является ли объект (субъект) действительно тем, за кого он себя выдает.



Загрузка...

Возможно вам будет интересно:

Базовые элементы монтажа в Vegas Pro Вставка шаблонных титров
Вопрос

Базовые элементы монтажа в Vegas Pro Вставка шаблонных титров

Всем привет! Сегодня мы перейдем с вами к видеомонтажу. И первым делом мне хотелось бы дать вам подробную инструкцию, как пользоваться сони вегас про 13, даже если вы начинающий пользователь. На сегодняшний день эта программа является одной из лучших. Ко

Как создать, установить и поменять тему на андроид Как создать лаунчер на все телефоны
Вопрос

Как создать, установить и поменять тему на андроид Как создать лаунчер на все телефоны

Для организации и взаимодействия с приложениями на Android используются лаунчеры. Которые обычно состоят из серии домашних экранов, где мы можем организовать ярлыки приложений, виджеты и так далее. Каждый телефон поставляется с лаунчером, но не все лаунче

Где и в каком виде хранится информация
Вопрос

Где и в каком виде хранится информация

Откройте окно с задачей "Мой компьютер ". Если значки в окне мелкие, то измените их на крупные. Конечно, с помощью Правила Внешнего вида!Окно задачи будет выглядеть приблизительно так, как на рисунке:В данном примере значки (C:), (D:) и (E:) обозначают ло

Реклама